AAF - Análise por Árvore de Falhas

- 37 -
 SUMÁRIO

1. INTRODUÇÃO................................................................................................................ 39

2. OBJETIVO....................................................................................................................... 39

3. DEFINIÇÕES................................................................................................................... 39

4. METODOLOGIA............................................................................................................. 40

5. CONCEITOS BÁSICOS DE ÁLGEBRA BOOLEANA...................................................42

6. EXEMPLOS..................................................................................................................... 45

7. TÉCNICA DOS CONJUNTOS DE CORTES MÍNIMOS................................................51

8. EXERCÍCIOS PROPOSTOS............................................................................................ 60

9. BIBLIOGRAFIA.............................................................................................................. 63

1. INTRODUÇÃO

- 38 -
 A Análise de Árvore de Falhas – AAF (Failure Tree Analysis – FTA) foi
desenvolvida por H. A. Watson, nos anos 60, para os Laboratórios “Bell Telephone”, no
âmbito do projeto do míssil “Minuteman”, sendo posteriormente aperfeiçoada e utilizada
em outros projetos aeronáuticos da Boeing.

Entre os principais benefícios do uso da AAF, em estudos de análise de riscos

pode-se destacar:

 Conhecimento detalhado de uma instalação ou sistema;

 Estimativa da confiabilidade de um determinado sistema;

 Cálculo da freqüência de ocorrência de uma determinada hipótese acidental;

 Identificação das causas básicas de um evento acidental e das falhas mais

prováveis que contribuem para a ocorrência de um acidente maior;

 Detecção de falhas potenciais difíceis de ser reconhecidas;

 Tomada de decisão quanto ao controle dos riscos associados à ocorrência de um

determinado acidente, com base na freqüência de ocorrência calculada e nas
falhas contribuintes de maior significância.

2. OBJETIVO

A Análise de Árvores de Falhas é uma técnica dedutiva que tem por objetivo
identificar as causas potenciais de acidentes e de falhas num determinado sistema, além de
permitir a estimativa da probabilidade ou freqüência de ocorrência de uma determinada
falha ou acidente.

3. DEFINIÇÕES

 Álgebra Booleana: Ramo da matemática que descreve o comportamento de

funções lineares ou variáveis binárias: “on/off”; aberto/fechado;
verdadeiro/falso. Todas as árvores de falhas coerentes podem ser convertidas
numa série equivalente de equações “booleanas”;

- 39 -
  Evento: Desvio, indesejado ou esperado, do estado normal de um componente
do sistema;

 Evento-Topo: Evento indesejado ou hipótese acidental. Localizado no topo da

árvore de falhas, é desenvolvido até que as falhas mais básicas do sistema
sejam identificadas, por meio de relações lógicas que estabelecem as relações
entre as falhas;

 Evento Intermediário: Evento que propaga ou mitiga um evento iniciador

(básico) durante a seqüência do acidente;

 Evento Básico: Um evento é considerado básico, quando nenhum

desenvolvimento a mais é julgado necessário;

 Evento Não Desenvolvido: Evento que não pode ser desenvolvido porque não
há informações disponíveis.

 Porta Lógica (Comporta Lógica): Forma de relacionamento lógico entre os

eventos de entrada (“input-lower”) e o evento de saída (“output-higher”). Esses
relacionamentos lógicos são normalmente representados como portas “E”
(“AND”) ou “OU” (“OR”).

4. METODOLOGIA

A AAF consiste na construção de um processo lógico dedutivo que, partindo de um

evento indesejado pré-definido (hipótese acidental), busca as suas possíveis causas do
mesmo. O processo segue investigando as sucessivas falhas dos componentes até atingir as
chamadas falhas (causas) básicas, que não podem ser desenvolvidas, e para as quais
existem dados quantitativos disponíveis. O evento indesejado é comumente chamado de
“Evento-Topo”.

De forma geral, a seqüência para o desenvolvimento de uma árvore de falhas,

contempla as seguintes etapas:

 Seleção do “Evento-Topo” (na aplicação em estudos de análise de riscos,

normalmente o evento-topo é definido a partir de uma hipótese acidental,

- 40 -
 identificada anteriormente, pela aplicação de técnicas específicas, como: Análise
Preliminar de Perigos, HazOp, Análise de Modos de Falhas e Efeitos e What If,
entre outras;

 Construção da árvore de falhas, determinando os eventos que contribuem para a

ocorrência do evento-topo, estabelecendo as relações lógicas entre os mesmos;

 Seguir esse procedimento para os eventos intermediários até a identificação dos

eventos básicos em cada um dos “ramos” da árvore;

 Realizar uma avaliação qualitativa da árvore elaborada, dando especial atenção

para a ocorrência de eventos repetidos;

 Aplicação das probabilidades ou freqüências nos eventos básicos;

 Cálculo das freqüências dos eventos intermediários, de acordo com as relações

lógicas estabelecidas, até a determinação da probabilidade ou freqüência do
evento-topo.

De acordo com as etapas anteriormente mencionadas, pode-se observar que a

árvore de falhas contempla um “estudo” retrospectivo do relacionamento lógico das
possíveis falhas (eventos) que contribuem para a ocorrência do “evento-topo” (hipótese
acidental); assim, este, ou seja o “evento-topo” representa o resultado da árvore
(anteriormente conhecido), razão pela qual a “leitura do diagrama” é realizada de baixo
para cima, ou seja, dos eventos básicos para o “evento-topo”.

Assim, para a construção da árvore de falhas, a partir de um determinado “evento-

topo”, , três perguntas são consideradas fundamentais para a identificação dos eventos
intermediários e básicos e de suas relações lógicas; são elas:

 Que falhas podem ocorrer ?

 Como essas falhas podem ocorrer ?

 Quais são as causas dessas falhas ?

- 41 -
 A relação lógica entre os eventos topo, intermediários e básicos é representada por
símbolos lógicos, cujos principais são:

Evento Topo ou Intermediário: O retângulo é utilizado para representar a

descrição dos eventos que ocorrem por causa de um ou mais eventos;

Evento Básico: Representa uma falha básica que não requer nenhum
desenvolvimento adicional;

Evento não desenvolvido: Representa uma situação que este não será mais
analisada, ou que não há interesse de ser analisada; ou seja, um evento que poderia
continuar a ser desenvolvido, mas não há interesse em fazê-lo;

Portão “OU”: A saída ocorre se uma ou mais entradas da porta existirem;

Portão “E”: A saída ocorre se todas as entradas do porta existirem

simultaneamente.

5. CONCEITOS BÁSICOS DE ÁLGEBRA BOOLEANA

Árvores de falhas de grande complexidade requerem a aplicação de técnicas e

algorítimos específicos para os cálculos das probabilidades ou freqüências do “evento-
topo”; no entanto, em sistemas mais simples que, conseqüentemente, redundam em árvores
de falhas simplificadas, estas podem ser convertidas em expressões “booleanas”
equivalentes, definindo o “evento-topo” em como uma combinação de todos os eventos
básicos ou não desenvolvidos.

A “Álgebra Booleana” contempla somente com dois estados (sim/não.

Sucesso/falha, “on/off” ou 0/1), sendo portanto muito útil para a manipulação das portas
lógicas de uma árvore de falhas.

Uma vez que há uma quase total correspondência entre as regras da “Álgebra
Booleana” e da “Teoria dos Conjuntos”, esta pode ser usada para melhor explicar os
conceitos envolvidos.

O símbolo “+” presente na porta “OU” pode ser relacionado como a “UNIÃO” de
conjuntos, conforme apresentado na Figura 1.

- 42 -
 B C

Figura 1 – Diagrama de Venn – União de Conjuntos

Com base na Figura 1 pode-se dizer que qualquer elemento presente em B “OU” C
satisfaz uma determinada condição, o que corresponde ao mesmo que dizer B  C. Assim,
com base na “árvore” da Figura 2, pode-se dizer que o evento “A” ocorre se ocorrer o
evento “B” ou o evento “C”.

B C

Figura 2 – Árvore de Falhas – Porta “OU”

Assim, a probabilidade de ocorrer o “evento-topo” “A” pode ser

calculada, da seguinte forma:

P(A) = P(B  C) = P(B) + P(C) – P(B  C)

Se os eventos “B” e “C” forem eventos mutuamente exclusivos, então a

probabilidade de ocorrer o evento “A” pode ser expressa da seguinte forma:

P(A) = P(B) + P(C)

- 43 -
 Por outro lado, símbolo “.” Existente na porta “E” pode ser relacionado como a
“INTERSECÇÃO” de conjuntos, conforme apresentado na Figura 3.

B C

Figura 3 – Diagrama de Venn – Intersecção de Conjuntos

Com no diagrama da Figura 3 pode-se dizer que um elemento satisfaça a condição

especificada, um determinado elemento deve pertencer a B “E” a C, o que corresponde a
dizer que esse elemento pertence a B  C. Assim, com base na “árvore” da Figura 4, pode-
se dizer que o evento “A” ocorre se ocorrer o evento “B” e o evento “C”.

B C

Figura 4 – Árvore de Falhas – Porta “E”

Assim, a probabilidade de ocorrer o “evento-topo” “A” pode ser calculada, da

seguinte forma:

P(A) = P(B  C) = P(B).P(C)

6. EXEMPLOS

- 44 -
 Exemplo 1

A falha catastrófica de uma luminária é “Falha da luminária em acender”; logo,

esse será o “evento-topo” da árvore de falhas.

Considerando que os componentes desse sistema (luminária) são, de forma

simplificada, a lâmpada, o fio, o interruptor e a corrente elétrica, o analista deve procurar
identificar cada uma das possíveis desses componentes, de forma a estabelecer uma relação
lógica entre elas para subsidiar a elaboração da árvore de falhas; assim, as possíveis causas
(falhas) que podem levar ao evento-topo (falha da luminária em acender) incluem:

 Falha da lâmpada em acender:

 lâmpada queimada;

 não há lâmpada na luminária.

 Falta de corrente elétrica na luminária:

 falha do interruptor;

 luminária não está conectada à tomada;

 não há energia elétrica na tomada:

 fio cortado;

 fusível queimado;

 não há energia elétrica na residência.

Tomando por base a identificação desses eventos (falhas) é estruturar a árvore de

falhas para o evento-topo definido, conforme mostra a Figura 5.

- 45 -
 Figura 5 – Árvore de Falhas – Luminária

Exemplo 2

O esquema da Figura 6 mostra um esquema simplificado de um motor elétrico,

cuja árvore de falhas para o evento-topo “Superaquecimento do motor” está apresentada na
Figura 6.

- 46 -
 S F
R

M
B

Figura 6 – Motor Elétrico

A Figura 7 mostra a Árvore de Falhas para o evento-topo considerado.

Figura 7 – Árvore de Falhas – Motor Elétrico

Considerando os dados abaixo apresentados, pode-se calcular a freqüência de

ocorrência do “evento-topo” (superaquecimento do motor):

- 47 -
  Taxa de falha do motor (EB-1): 1,0 x 10-7 falhas/hora;

 Freqüência de erros operacionais (EB-2): 3,0 x 10-4 falhas/ano;

 Taxa de falha da chave (EB-3): 1,0 x 10-4 falhas/ano;

 Probabilidade de falha do fusível quando demandado (EB-4): 0,15;

 Freqüência de curtos em resistores (EB-5): 5,0 x 10-4 falhas/ano

 Taxa de falha da bateria (EB-6): 3,0 x 10-7 falhas/hora.

Transformando as taxas de falhas, disponíveis em horas, para taxas anuais de

falhas:

 Taxa de falha do motor (EB-1): 8,8 x 10-4 falhas/ano;

 Taxa de falha da bateria (EB-6): 2,6 x 10-3 falhas/ano.

A freqüência do evento topo pode então ser calculada, a partir da seguinte equação:

f = f (EB-1) + [f (EB-2) + f (EB-3)] + [f (EB-5) + f (EB-6)] . p (EB-4)

f  1,7 x 10-3 falhas/ano

Exemplo 3

A Figura 8 representa, esquematicamente, um determinado sistema cuja reação é

sensível a temperaturas elevadas; assim, para o controle da temperatura em níveis seguros
é feito pela circulação de líquido refrigerante que circula no reator.

Toda vez que a temperatura no vaso de reação atingir a temperatura T 1 a válvula

controladora V1 abre para circulação do líquido refrigerante de forma a estabilizar a
temperatura. Caso, esse sistema falhe e a reação atinja a temperatura T 2 (T2 > T1) será
acionado um alarme sonoro para que o operador interrompa o processo, de forma a evitar
uma reação descontrolada por excesso de temperatura no reator.

- 48 -
 Do tanque de Para tanque
líquido de líquido
refrigerante refrigerante

V2
TIC
S1
V1

Matéria-prima TIC
TI Alarme

Produto
S2

Legenda:
TIC = Indicador e controlador de temperatura;
TI = Indicador e sensor de temperatura;
V = Válvula;
S = Botoeira de acionamento remoto.

Figura 8 – Diagrama Esquemático de Processo Industrial

A Figura 9 apresenta a Árvore de Falhas para o sistema da Figura 8, considerando

o evento-topo “Reação descontrola por temperatura excessiva”.

- 49 -
 Danos ao reator por
temperatura excessiva

Ausência de fluxo do
líquido refrigerante
para o reator Válvula V1
permanece aberta

Não há
V2 permanece fechada
refrigerante
1 Operador não aciona
V1 falha
+ válvula V1
fechada

+
V2 falha V2 não é acionada
fechada

Alarme não alerta Erro do

. o operador operador

+
1
Falha do
TIC

Falha do Falha de
alarme TI

Figura 9 – Árvore de Falhas – Reação

7. TÉCNICA DOS CONJUNTOS DE CORTES MÍNIMOS

- 50 -
 Nos casos em que as árvores de falhas elaboradas são muito grandes e complexas,
normalmente em árvores com mais de vinte falhas (eventos) básicos, tanto a avaliação
como a interpretação de resultados tornam-se consideravelmente difíceis, sendo
recomendado o emprego de programas informatizados ou, pelo menos, o uso de técnicas
ou algorítimos específicos, os quais são, em geral, formulados em termos dos chamados
CMCs – Conjuntos de Cortes Mínimos.

Um CMC (MCS – Minimal Cut Set) é definido como sendo a menor combinação
de falhas primárias que causará a ocorrência do evento-topo, se todas elas ocorrerem; é,
portanto, uma combinação (intersecção) de falhas básicas suficientes para que o evento-
topo ocorra. É importante ressaltar que todas as falhas básicas da árvore, determinada pela
técnica CMC, devem ocorrer, pois, caso uma não ocorra, não ocorrerá o evento-topo.

A idéia do “corte mínimo” (cut set) surgiu originalmente do uso dos chamados
diagramas de confiabilidade para sistemas elétricos, nos quais um sinal entra à esquerda e
sai à direita. Assim, um corte mínimo corresponde ao número mínimo de componentes que
deve “cortado” para evitar o fluxo do sinal.

A Figura 10 apresenta um diagrama de confiabilidade para a ilustração da

aplicação da técnica dos cortes mínimos.

A1
B1

A2
C

A3
B2

A4

CMC5 CMC4 CMC2

CMC3 CMC1

Figura 10 – Diagrama Ilustrativo de Cortes Mínimos

- 51 -
 Observando a figura acima é fácil compreender que cada corte mínimo consiste na
intersecção de falhas primárias que levam ao evento-topo. Por sua vez, o evento-topo
consiste na união de todos os cortes mínimos. Assim, da figura acima, obtém-se os
seguintes cortes mínimos:

 CMC1 = C;
 CMC2 = B1  B2;
 CMC3 = A1  A2  B2;
 CMC4 = A3  A4  B1;
 CMC5 = A1  A2  A3  A4.
É importante também observar que há a possibilidade de serem definidos outros
cortes que levam ao evento-topo, sem, no entanto, serem cortes mínimos, não devendo
portanto ser considerados. A representação, em termos de árvore de falhas, considerando
os cortes mínimos do sistema anteriormente apresentado, está apresentada na Figura 11.

CMC2 CMC3 CMC1 CMC5 CMC4

. . . .
C

B1 B2 A1 B2 A3 B1

A2 A4

A1 A2 A3 A4

- 52 -
 Figura 11 – Árvore de Falhas com Cortes Mínimos

A partir do diagrama da Figura 7, observa-se que é relativamente simples definir os

cortes mínimos do sistema; porém, a partir dos diagramas de árvores de falhas ou mesmo
de sistemas complexos, nem sempre essa tarefa é fácil. Um exemplo dessa complexidade é
a árvore de falhas elaborada para o sistema de injeção a alta pressão do “Reator Surry”,
que a partir de 140 eventos básicos, resultou em 8.200 cortes mínimos.

Na seqüência apresenta-se o “Algorítmo Vesely-Fussel”, desenvolvido por Jerry

Fussel e William Vesely, que serviu de base para os programas MOCUS e CAPETO, este
último implantado na EMBRAER. Esse algoritmo baseia-se em dois fatos simples:

 Um portão “E” sempre aumenta o tamanho de um corte mínimo;

 Um portão “OU” sempre aumenta o número de cortes mínimos.

O algoritmo de Vesely-Fussel obtém cortes mínimos se todos os eventos básicos

são diferentes entre si; caso contrário, serão obtidos cortes, mas não mínimos.

Para melhor compreensão do algorítmo, o mesmo será apresentado a partir de um

exemplo, baseado na árvore de falhas da Figura 12.

- 53 -
 Figura 12 – Árvore de Falhas Genérica sem Eventos Básicos Repetidos

Denominando o portão sob o evento principal de G-0, o primeiro passo é escrevê-

lo; em seguida o mesmo deve ser substituído por suas entradas. Como G-0 é um portão
OU, suas entradas são escritas na mesma coluna. Nessa substituição aparece o portão G-
1, que é E; portanto, nesse caso, suas entradas são escritas na mesma linha, conforme
apresentado a seguir.

1o Passo

G-0 G-1

- 54 -
 2o Passo

G-2 3

Na seqüência estão apresentados os passos seguintes, mantendo a mesma forma de

substituição dos portões OU e E, aplicada nos passos 1 e 2.

3o Passo

4 3

5 3

G-3 3

4o Passo

4 3

5 3

9 G-4 3

- 55 -
 5o Passo

ORDEM
Q
U
A 1
N
T
I 4 3
D
A
D
5 3
E
9 6 3

9 7 3

9 8 3

Observando-se o resultado final, no quadro acima, resultante do 5 o e último passo,

vê-se que se trata de uma matriz onde cada linha é um corte mínimo, uma vez que na
árvore não há eventos repetidos.

Pode-se ainda observar que há dois cortes mínimos de 1ª ordem, dois cortes
mínimos de 2ª ordem e três corte mínimos de 3ª ordem; assim, da mesma forma que as
linhas representam a quantidade de cortes mínimos, as colunas indicam a ordem dos cortes
mínimos.

A árvore final, elaborada a partir da matriz dos cortes mínimos está apresentada na
Figura 13.

- 56 -
 EVENTO - TOPO

K1 K2 K3 K4 K5 K6 K7

1 . . . . . 2

3 4 3 5 3 9 3 9 3 9

6 7 8

Figura 13 – Árvore de Falhas Reduzida com Cortes Mínimos

- 57 -
 A Figura 14 apresenta outra árvore de falhas genérica, para a qual será aplicada o
algorítmo de Vesely-Fussel; no entanto, pode-se observar que nesta árvore são apresentados
eventos básicos repetidos; portanto, a aplicação do citado algorítmo resultará em cortes, porém
não em cortes mínimos, dada a presença dos eventos básicos repetidos

Figura 14 – Árvore de Falhas Genérica com Eventos Básicos Repetidos

Aplicando o algorítmo Vesely-Fussel, seguindo os mesmos passos que no exemplo

anterior obteve-se, como resultado, a matriz de cortes (não mínimos) apresentada na seqüência.

- 58 -
 1

2 3 2

2 3 4

2 3 5 7 6

2 3 5 8 6

2 3 5 9 6 10 6

2 3 5 9 10 10 6

2 3 5 10 6

Como os cortes constantes da matriz acima não são mínimos, uma vez que a árvore de
falhas na qual foi aplicado o algoritmo Vesely-Fussel possuía eventos básicos repetidos, deve-se
aplicar as propriedades da álgebra booleana para a determinação da árvore reduzida a partir da
árvore descrita pelos cortes da referida matriz.

Ao realizar o procedimento acima observa-se que, após a redução booleana, obtém-se a seguinte matriz
de cortes mínimos:

2 3

Dessa forma, a árvore reduzida ficou bastante simples, possibilitando facilmente ser
calculado o evento-topo, conforme mostra a Figura 15.

EVENTO-TOPO
- 59 -
 +

K1 K2

1 .

2 3

Figura 15 – Árvore de Falhas Genérica após Redução Booleana

8. EXERCÍCIOS PROPOSTOS

Na seqüência estão apresentados dois exercícios propostos cuja finalidade é propiciar as

condições básicas para o treinamento na elaboração de árvores de falhas e estimativa da
freqüência de ocorrência do evento-topo.

Exercício 1:

A Figura 16 mostra um sistema de bombeamento de um determinado produto, onde o

tanque é enchido em 10 minutos e esvaziado em 50 minutos; assim, o ciclo de funcionamento é
de 1 hora. Depois que a chave é fechada, o timer é atuado para abrir os contatos em 10 minutos.
Se o mecanismo falhar, o alarme (buzina) soará, devendo o operador abrir a chave para prevenir
a ruptura do tanque devido a uma sobrepressão, causada por superenchimento.

O objetivo do exercício é elaborar uma árvore de falhas para o evento-topo “Ruptura do

Tanque”, contemplando os eventos básicos listados na seqüência.

- 60 -
 Figura 16 – Sistema de Bombeamento

A tabela que segue apresenta os eventos básicos a serem considerados na elaboração da árvore de falhas,
com os respectivos dados de falhas.

Probabilidade de
Evento Básico Freqüência (ano-1)
Falha/Erro na Demanda

Falha estrutural do tanque 2,0 x 10-4 -

Falha dos contatos em abrir 5,0 x 10-4 -

Falha do timer 3,0 x10-4 -

Falha da chave em abrir - 0,05

Erro do operador - 0,03

Falha do alarme em soar - 0,02

Exercício 2:

O diagrama esquemático da Figura 17 mostra uma caldeira na qual o nível de água é

controlado por um indicador de nível (LIC) que modula o ar para a válvula de controle (LICV)
do sistema de alimentação de água.

- 61 -
 Como a caldeira é susceptível à explosão catastrófica devido a um aumento excessivo de
temperatura causado pela chama sob o casco seco pressurizado, os projetistas do sistema
decidiram incorporar um intertravamento que interrompa o suprimento de combustível para a
chama quando o nível de água da caldeira estiver muito baixo. Essa providência foi adotada
prevendo-se a instalação de um sinal de nível baixo do LIC para atuar a válvula solenóide que
modula o ar para a PCV do combustível, que é operada a ar e fechará quando o ar for retirado.

O objetivo do exercício é elaborar uma árvore de falhas para o evento-topo “Explosão da

Caldeira devido a Chama no Casco” e desenvolver a equação final reduzida para cálculo da
freqüência do evento-topo.

Deve-se considerar como interface do sistema caldeira o fornecimento de combustível e a

alimentação de água. A válvula V1 (“bypass” da PCV) é atuada manualmente pelo operador.

Figura 17 – Caldeira com Aquecimento por Chama em Casco Seco

A tabela, que segue, apresenta os eventos básicos, com as respectivas nomenclaturas, que
deverão ser consideradas para a elaboração da equação de cálculo do evento-topo.

Evento Básico Nomenclatura Observação

- 62 -
 Perda de alimentação de água E1 Considerar evento não desenvolvido

LICV falha em abrir (falha fechado) P1 -

Erro do operador deixando V1 aberta K1 Considerar evento não desenvolvido

Falha do LIC em indicar nível correto P2 -

Falha do LE em indicar nível correto P3 -

Conexões para caldeira bloqueadas E2 Considerar evento não desenvolvido

PCV falha em fechar (falha aberta) P4 -

SV falha em atuar P5 -

9. BIBLIOGRAFIA CONSULTADA

 DE CICCO, Francesco & FANTAZZINI, Mário L. Introdução à Engenharia de

Segurança de Sistemas. FUNDACENTRO, São Paulo, 1985.

 MIRSHAWKA, Vitor. Probabilidades e Estatística para Engenharia. Nobel, São

Paulo, 1988.

 OLIVEIRA, Luis Fernando S. Modelagem e Avaliação de Confiabilidade de Sistemas

com Componentes Monitorados Reparáveis e Sistemas com Componentes
Testados Periodicamente. Apostila do Curso “Engenharia de Confiabilidade”.
IBP – Instituto Brasileiro de Petróleo, Rio de Janeiro, 1994.

 LEES, Frank P. Loss Prevention in the Process Industries. 2nd Ed.; Butterworth
Heinemann; London, 1996.

 BERNSTEIN, Peter L. Desafio dos Deuses: A Fascinante História do Risco. 8a

Ed., Editora Campus, Rio de Janeiro, 1997.

 XAVIER, José Carlos de M. Introdução à Confiabilidade. Apostila do Curso

“Introdução à Análise de Riscos”. CETESB, São Paulo, 2000.

- 63 -
 AIChE/CCPs. Guidelines for Process Equipment Reliability Data. Center for
Chemical Process Safety of the American Institute of Chemical Engineers, New
York, 2000.

 LAFRAIA, João Ricardo B. Manual de Confiabilidade, Mantenabilidade e

Disponibilidade. Qualitymark Editora, Rio de Janeiro, 2001.

- 64 -